비공개 소스 프로젝트를 위해 sourceforge, github 또는 bitbucket과 같은 사이트를 얼마나 안전하고 신뢰할 수 있습니까? [닫은]


32

내 비즈니스의 소스 제어를 관리하기 위해 sourceforge, bitbucket 또는 github 사용을 고려하고 있습니다. 나는 열린 프로젝트를 가지고 있으며 gcc와 같은 열린 프로젝트에 참여합니다. 그러나 저는 또한 본인의 생활을위한 폐쇄 소스 소프트웨어를 개발하는 사업도 있습니다.

소프트웨어를 눈에 띄지 않게 보호하는 데있어 소스 포지, github 또는 비트 버킷은 얼마나 신뢰할 수 있습니까? 데이터 손실 방지 측면에서 호스팅은 얼마나 안정적입니까? 그런 복장으로 비즈니스 로직을 기반으로 한 사람이 있습니까? 거기에 누군가가 여러 호스팅 솔루션을 조사한 적이 있습니까?


3
참고 사항 : 신뢰하는 경우에도 자신의 리포지토리를 자동으로 백업해야합니다.
Michael Kohne

얼마나 안전한지에 관계없이 서버를 보관하는 국가의 법 집행 기관이 파일에 액세스 할 수 있다고 가정해야합니다. 해당 파일에 액세스하고 있는지 알 수 없습니다. 외국 정부에 소프트웨어가 관심이 있다면 이것이 중요 할 수 있습니다.
Simon B

답변:


34

이와 같은 공급자의 보안을 평가하는 좋은 표준 방법은 없습니다. 다소 볼 수있는 안정성이지만 보안은 외부에서 평가하기가 거의 불가능합니다.

나는 실제로 당신이 그들의 보안 보증에 대해 고려하고있는 공급자와 이야기하고 계약을 봅니다-그들이 보증을하지 않거나 계약이 '우리는 책임을 질 수 없습니다'절로 수수께끼를 쳤다면, 그들이 보안을 얼마나 심각하게 생각하는지, 그리고 뭔가 배 모양이 될 때 얼마나 많은 도움을 줄 수 있는지 알려줍니다.

또한 진공 상태에서이를 평가하지 마십시오. OWN 서버를 실행하는 데 필요한 작업과 얼마나 많은 노력과 오버 헤드가 발생하는지, 서버를 망치는 가능성에 대해 생각하십시오 (엄청난 보안 허점을 남기고) ) 집에서함으로써.


18
자신의 서버가 덜 안전 할 가능성을 언급 한 +1
Peter

14

우리는 그런 식으로 호스팅 된 비공개 소스 프로젝트를 가지고 있습니다.

소스 코드를 훔치는 사람이 너무 멀리 가지 않는다는 것은 널리 알려져 있습니다 ( 여기서 좋은 기사 ). 비트 버킷과 깃 허브는 폐쇄 된 소스에서 생활을하므로 가능한 한 안전하게 물건을 유지하고 나쁜 언론을 최소화해야합니다.

한 가지 주목할 점은 오픈 소스 트래픽으로 인해 서비스가 잠시 중단 될 수 있다는 것입니다.

그러나 전반적으로, 우리는 장단점을 평가하고 행복합니다.

ps 내가 실수하지 않으면 github은 엔터프라이즈 고객을위한 "프라이빗 클라우드"인스턴스를 제공합니다.


기사 주셔서 감사합니다. 프라이빗 클라우드를 사용해 보셨습니까? 프라이빗 레포를 사용하고 있습니까?
emsr

개인 레포.
Dave Clausen

그들은 기본적으로 자체 호스팅 GitHub의입니다 gitlab 할
톰 종복

14

SourceForge는 더 이상 신뢰할 수 없는 것으로 간주됩니다 . 계정을 가로 채고 Windows 패키지를 애드웨어 설치 프로그램 (GIMP, nmap 등)으로 대체했습니다. SourceForge는 특정 국가의 사용자를 필터링하는 데 적극적으로 노력하고 있습니다. SF가 합법적으로 기소 된 것을 아직 보지 못했기 때문에 다른 호스팅 서비스가 소프트웨어 설치 프로그램을 방해하는 것을 막는 것은 없습니다. 주의 사항 emptor .

편집 : https://helb.github.io/goodbye-sourceforge/ 는 호스팅 비교를위한 좋은 리소스입니다 (나는 그들과 관련이 없습니다).


1
문제는 특히 개인 호스팅 아웃소싱에 관한 것이므로 공개 프로젝트와의 SF 혼잡 문제는 여기서 특히 관련이 없습니다.
Andrew Medico

6
@AndrewMedico-그것은 여전히 ​​무결성의 문제입니다 ...
Deer Hunter

마지막 SF가 판매되었을 때 무결성 측면에서, 새로운 소유자는 설치 프로그램 모딩 프로그램을 중단했습니다 : ghacks.net/2016/02/10/…
Michael

7

Stack Overflow에 비슷한 질문이 있습니다 (
github, bitbucket 등과 같은 리포지토리 사이트에서 민감한 데이터를 호스팅하는 것이 얼마나 안전합니까?

TL; DR :

  • 클라우드의 모든 항목과 마찬가지로 일부 해커가 데이터에 액세스하지 않는다는 100 % 보장은 없습니다
    (반면, 직접 호스팅 할 때 발생할 수도 있음)
  • 클라우드 제공 업체는 언제든지 서비스를 중단 할 수 있습니다. 언급 된 큰 소스 코드 호스팅 업체에게는 이런 일이 발생하지 않을 것입니다. 그러나 당신은 결코 알지 못합니다
    .

4

공급자가 신뢰할 수있는 경우에도, 크래커가 무엇을 목표로하고 있는지에 대한 의지가있을 때 어떤 오픈 사이트가 크랙킹 가능한지 알 수 없습니다.

우리 회사에서는 GitHub Enterprise를 구입했습니다. GitHub Enterprise 는 인트라넷에서 우리 자신의 github입니다. GitHub를 좋아하고 개인 작업을 유지하는 것이 중요하다면 이것이 가장 안전한 방법 일 것입니다.


그래도 스스로에게 물어봐야합니다 : 회사가 GitHub 및 Bitbucket과 같은 헤비급보다 저장소에 보안을 제공하는 것이 더 낫습니까?
Stefan Billiet

1
@StefanBilliet 아마도 우리 중 누구도 소스를 100 % 보호 할 수는 없지만 github 엔터프라이즈 인스턴스를 로컬 네트워크 크래커에 유지하려면 퍼블릭 서버에 대해 언제든지 동일한 작업을 수행하기 위해 내부의 도움이 필요합니다.
Sylwester

3

이미 우려하고있는 부분의 기술적 측면을 다루는 몇 가지 좋은 답변을 말씀 드리겠습니다. 궁극적으로 "보안 위반"이 발생한 경우 귀하는 귀하가 가지고있는 법적 수단을 고려해야합니다. 서비스 조건 등으로 인해 발생하는 손해에 대해 라이센스 조건은 어느 정도까지 책임이 있습니다. 특정 경우에 대해 손해를 현금으로 복구 할 수 있습니다. 대체물이 얼마나 안전한지 고려해야합니다. 인터넷에 연결된 것으로 추정되는 사내 서버가 Github보다 손상 될 가능성이 적습니까? 당신은 충분히 숙련되고 필요한 자원을 확실하게 설비에 설치하고 있습니까?

클라우드에 데이터를 넣는 조직과 협력하고 있지만 상업적 가치는 제한적이지만 법적으로 민감한 데이터가 있습니다. 현금 손상은 보안 위반을 해결하지 않습니다. 결과적으로 보안 수준은 "사내 시스템을 실행하는 것보다 더 안전합니다". 여기에는 데이터 보호, 개인 정보 보호 등에 관한 동일한 법률이 적용되므로 동일한 국가에 대해 동일한 법적 시스템에 답변해야하는 법적 관할권이 따릅니다. 민사 법원. 국경을 넘어 범죄자가 불평하는 것처럼 국경을 넘어 법적 분쟁을 피해야합니다.


0

git의 장점 중 하나는 피어 투 피어이므로 실제로 마스터 VCS가 필요하지 않지만 많은 회사 (내 회사 포함)가 github를 마스터 리포지토리로 사용한다는 것입니다.

개인 (읽기 전용 또는 읽기 / 쓰기)에 대한 액세스 권한을 할당하고 개인도 관리자로 정의 할 수 있으므로 상당한 수준의 액세스 제어가 가능합니다.

Github은 때때로 "히코 (히코)"(화려한 유니콘)를 수행하지만 일반적으로 꽤 안정적이며 데이터 손실에 아무런 문제가 없었습니다. 백업 옵션도 있습니다


신뢰할 수있는 타사 소스 코드 호스팅 의 문제에 대해서는 다루지 않습니다 .
M. Dudley

@ M.Dudley True, 그러나 그것은 내 질문 중 하나 인 안정성에 영향을 미칩니다 (물론 나에게 가장 중요하지는 않습니다).
emsr

화난 유니콘. 어머.
Dominic Cerisano

0

유지 관리 및 백업하는 로컬 박스에 소스 코드를 넣는 것을 고려하지 않는 이유는 무엇입니까? 이것은 subversion / Tortoise-SVN을 통해 매우 쉽게 달성 할 수 있으며 물론 필요한 것이 아니라면 분산 리포지토리를 사용할 필요가 없습니다.


1
Git으로도 가능합니다.
Rig
당사 사이트를 사용함과 동시에 당사의 쿠키 정책개인정보 보호정책을 읽고 이해하였음을 인정하는 것으로 간주합니다.
Licensed under cc by-sa 3.0 with attribution required.